Activer l’accès juste-à-temps sur les machines virtuelles

Procédures
10/01/2023

Vous pouvez utiliser l’accès juste-à-temps (JAT) de Microsoft Defender pour le cloud pour protéger vos machines virtuelles Azure contre l’accès réseau non autorisé. Souvent, les pare-feu contiennent des règles d’autorisation qui laissent vos machines virtuelles vulnérables aux attaques. JAT vous permet d’autoriser l’accès à vos machines virtuelles uniquement lorsque l’accès est nécessaire, sur les ports nécessaires et pendant la période nécessaire.

Découvrez-en davantage sur le Fonctionnement de JAT et les autorisations requises pour configurer et utiliser JAT.

Dans cet article, vous apprenez à inclure l’accès JAT dans votre programme de sécurité, et notamment comment :

Activer JAT sur vos machines virtuelles à partir du Portail Azure ou par programme
Demander l’accès à une machine virtuelle sur laquelle JAT est activé à partir du Portail Azure ou par programmation
Auditer l’activité JAT pour vous assurer que vos machines virtuelles sont sécurisées de manière appropriée

Disponibilité

Aspect	Détails
État de sortie :	Disponibilité générale
Machines virtuelles prises en charge :	Machines virtuelles déployées via Azure Resource Manager. Machines virtuelles déployées avec des modèles de déploiement classiques Machines virtuelles protégées par des pare-feu Azure sur le même réseau virtuel que la machine virtuelle Machines virtuelles protégées par des pare-feu Azure contrôlés par Azure Firewall Manager Instances AWS EC2 (préversion)
Rôles et autorisations obligatoires :	Reader, SecurityReader ou un rôle personnalisé peut afficher l’état et les paramètres JAT. Pour créer un rôle moins privilégié pour les utilisateurs qui doivent uniquement demander un accès JAT à une machine virtuelle, utilisez le script Set-JitLeastPrivilegedRole.
Clouds :	Clouds commerciaux Nationaux (Azure Government, Microsoft Azure géré par 21Vianet) Comptes AWS connectés (préversion)

Prérequis

JAT requiert que Microsoft Defender pour serveurs Plan 2 soit activé sur l’abonnement.
Les rôles Lecteur et SecurityReader peuvent tous deux afficher l’état et les paramètres de l’accès JAT.

Si vous voulez créer des rôles personnalisés qui fonctionnent avec JAT, vous avez besoin des informations du tableau suivant :

Pour permettre à un utilisateur de :	Autorisations à définir
Configurer ou modifier une stratégie juste-à-temps pour une machine virtuelle	Attribuez ces actions au rôle : Dans l’étendue d’un abonnement (ou d’un groupe de ressources lors de l’utilisation de l’API ou de PowerShell uniquement) associé à la machine virtuelle : `Microsoft.Security/locations/jitNetworkAccessPolicies/write` Dans l’étendue d’un abonnement (ou d’un groupe de ressources lors de l’utilisation de l’API ou de PowerShell uniquement) de la machine virtuelle : `Microsoft.Compute/virtualMachines/write`
Demander l’accès JIT à une machine virtuelle	Attribuez ces actions à l’utilisateur : `Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action` `Microsoft.Security/locations/jitNetworkAccessPolicies//read` `Microsoft.Compute/virtualMachines/read` `Microsoft.Network/networkInterfaces//read` `Microsoft.Network/publicIPAddresses/read`
Lire les stratégies JIT	Attribuez ces actions à l’utilisateur : `Microsoft.Security/locations/jitNetworkAccessPolicies/read` `Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action` `Microsoft.Security/policies/read` `Microsoft.Security/pricings/read` `Microsoft.Compute/virtualMachines/read` `Microsoft.Network/*/read`

Notes

Seules les autorisations Microsoft.Security sont pertinentes pour AWS.

Pour configurer l’accès JAT sur votre machine virtuelle Amazon Web Service (AWS), vous devez connecter votre compte AWS à Microsoft Defender pour le cloud.

Conseil

Pour créer un rôle de moindre privilège pour les utilisateurs qui doivent demander un accès JAT à une machine virtuelle et n’exécuter aucune autre opération JAT, utilisez le script Set-JitLeastPrivilegedRole à partir des pages de la communauté GitHub de Defender pour le cloud.

Remarque

Pour créer correctement une stratégie JAT personnalisée, le nom de la stratégie, ainsi que le nom de la machine virtuelle ciblée, ne doivent pas dépasser un total de 56 caractères.

Utiliser l’accès aux machines virtuelles JAT à l’aide de Microsoft Defender pour le cloud

Vous pouvez utiliser Defender pour le cloud ou activer par programmation l’accès aux machines virtuelles JAT avec vos propres options personnalisées, ou vous pouvez activer JAT avec des paramètres codés en dur par défaut à partir de machines virtuelles Azure.

L’accès juste-à-temps aux machines virtuelles affiche vos machines virtuelles regroupées en :

Configuré : machines virtuelles configurées pour prendre en charge l’accès juste-à-temps à la machine virtuelle, et affiche :
- le nombre de demandes d’accès JAT approuvées au cours des sept derniers jours
- la date et l’heure du dernier accès
- la configuration des détails de la connexion
- le dernier utilisateur
Non configuré : machines virtuelles sans l’accès JAT activé, mais qui peuvent prendre en charge l’accès JAT. Nous vous recommandons d’activer l’accès JAT pour ces machines virtuelles.
Non prises en charge : machines virtuelles qui ne prennent pas en charge JAT pour les raisons suivantes :
- Pare-feu Azure ou groupe de sécurité réseau (NSG) manquant : l’accès JAT a besoin qu’un groupe de sécurité réseau soit configuré ou d’une configuration de pare-feu (ou les deux)
- Machine virtuelle classique : l’accès JAT prend en charge les machines virtuelles déployées via Azure Resource Manager. En savoir plus sur les modèles de déploiement classiques vs Azure Resource Manager.
- Autre : La solution JAT est désactivée dans la stratégie de sécurité de l’abonnement ou du groupe de ressources.

Activer l’accès JAT sur vos machines virtuelles à partir de Microsoft Defender pour le cloud

À partir de Defender pour le cloud, vous pouvez activer et configurer l’accès JAT aux machines virtuelles.

Ouvrez les Protections des charges de travail, puis dans les protections avancées, sélectionnez Accès juste-à-temps aux machines virtuelles.
Dans l’onglet des machines virtuelles Non configurées, marquez les machines virtuelles à protéger avec JAT et sélectionnez Activer JAT sur les machines virtuelles.

La page Accès JAT aux machines virtuelles s’ouvre et répertorie les ports que Defender pour le cloud recommande de protéger :
- 22 - SSH
- 3389 - RDP
- 5985 - WinRM
- 5986 - WinRM
Pour personnaliser l’accès JAT :
1. Sélectionnez Ajouter.
2. Sélectionnez l’un des ports de la liste pour le modifier ou entrez d’autres ports. Pour chaque port, vous pouvez définir :
  - Protocole : protocole autorisé sur ce port lorsqu’une requête est approuvée
  - Adresses IP sources autorisées : plages d’adresses IP autorisées sur ce port lorsqu’une requête est approuvée
  - Durée maximale de la requête : fenêtre de temps maximale pendant laquelle un port spécifique peut être ouvert
3. Sélectionnez OK.
Sélectionnez Enregistrer pour enregistrer la configuration des ports.

Modifier la configuration de l’accès JAT sur une machine virtuelle prenant en charge l’accès JAT à l’aide de Defender pour le cloud

Vous pouvez modifier la configuration juste-à-temps d’une machine virtuelle en ajoutant et en configurant un nouveau port à protéger pour cette machine virtuelle, ou en modifiant tout autre paramètre relatif à un port déjà protégé.

Pour modifier les règles JAT existantes pour une machine virtuelle :

Ouvrez les Protections des charges de travail, puis dans les protections avancées, sélectionnez Accès juste-à-temps aux machines virtuelles.
Dans l’onglet des machines virtuelles Configurées, faites un clic droit sur une machine virtuelle et sélectionnez Modifier.
Dans la configuration de l’accès JAT de la machine virtuelle, vous pouvez soit modifier la liste des ports, soit sélectionner Ajouter un nouveau port personnalisé.
Lorsque vous avez fini de modifier les ports, sélectionnez Enregistrer.

Demander l’accès à une machine virtuelle prenant en charge JAT à partir de Microsoft Defender pour le cloud

Quand l’accès JAT est activé pour une machine virtuelle, vous devez demander l’accès pour vous y connecter. Vous pouvez demander l’accès selon l’une des méthodes prises en charge, quelle que soit la façon dont vous avez activé l’accès JAT.

Dans la page Accès JAT aux machines virtuelles, sélectionnez l’onglet Configuré.
Sélectionnez les machines virtuelles auxquelles vous souhaitez accéder :
- L’icône dans la colonne Détails de la connexion indique si l’accès juste-à-temps est activé sur le groupe de sécurité réseau ou le pare-feu. S’il est activé sur les deux, seule l’icône de pare-feu s’affiche.
- La colonne Détails de la connexion affiche l’utilisateur et les ports qui peuvent accéder à la machine virtuelle.
Sélectionnez Demander l’accès. La fenêtre Demander l’accès s’ouvre.
Sous Demander l’accès, sélectionnez les ports que vous souhaitez ouvrir pour chaque machine virtuelle, les adresses IP sources sur lesquelles vous souhaitez que le port soit ouvert et la fenêtre de temps pour ouvrir les ports.
Sélectionnez Ports ouverts.

Notes

Si un utilisateur qui demande l’accès se trouve derrière un proxy, vous pouvez entrer la plage d’adresses IP du proxy.

Autres façons d’utiliser l’accès JAT pour les machines virtuelles

Machines virtuelles Azure

Activer l’accès JAT sur vos machines virtuelles à partir des machines virtuelles Azure

Vous pouvez activer l’accès JAT sur une machine virtuelle à partir des pages des machines virtuelles Azure sur le portail Azure.

Conseil

Si JAT est déjà activé sur une machine virtuelle, la page de configuration de la machine virtuelle indique que JAT est activé. Vous pouvez utiliser le lien pour ouvrir la page d’accès à la machine virtuelle JAT dans Defender pour le cloud afin d’afficher et de modifier les paramètres.

Dans le portail Azure, recherchez et sélectionnez Machines virtuelles.
Sélectionnez la machine virtuelle que vous souhaitez protéger à l’aide de l’accès JAT.
Dans le menu, sélectionnez Configuration.
Sous Accès juste-à-temps, sélectionnez Activer l’accès juste-à-temps.

Par défaut, l’accès juste-à-temps pour la machine virtuelle utilise les paramètres suivants :
- Machines Windows
  - Port RDP : 3389
  - Accès maximal autorisé : trois heures
  - Adresses IP sources autorisées : toutes les adresses IP
- Machines Linux
  - Port SSH : 22
  - Accès maximal autorisé : trois heures
  - Adresses IP sources autorisées : toutes les adresses IP
Pour modifier l’une de ces valeurs ou ajouter d’autres ports à votre configuration JAT, utilisez la page Juste-à-temps de Defender pour le cloud :
1. Dans le menu de Defender pour le cloud, sélectionnez Accès JAT aux machines virtuelles.
2. Depuis l’onglet Configurées, faites un clic droit sur la machine virtuelle à laquelle vous souhaitez ajouter un port, puis sélectionnez Modifier.
3. Sous JIT VM access configuration (Configuration de l’accès juste-à-temps à la machine virtuelle), vous pouvez soit modifier les paramètres existants d’un port déjà protégé, soit ajouter un nouveau port personnalisé.
4. Lorsque vous avez fini de modifier les ports, sélectionnez Enregistrer.

Demander l’accès à une machine virtuelle prenant en charge l’accès JAT à partir de la page de connexion de la machine virtuelle Azure

Capture d’écran montrant la demande juste-à-temps JAT.

Pour demander l’accès à partir de machines virtuelles Azure :

Dans le portail Azure, ouvrez la page des machines virtuelles.
Sélectionnez la machine virtuelle à laquelle vous souhaitez vous connecter, puis ouvrez la page Se connecter.

Azure vérifie si l’accès JAT est activé sur cette machine virtuelle.
- S’il n’est pas activé pour la machine virtuelle, vous êtes invité à le faire.
- S’il est activé, sélectionnez Demander l’accès pour transmettre une demande d’accès avec l’adresse IP, la plage de temps et les ports de la requête qui ont été configurés pour cette machine virtuelle.

Notes

Une fois la demande approuvée pour une machine virtuelle protégée par le pare-feu Azure, Defender pour le cloud fournit à l’utilisateur les informations de connexion appropriées (mappage de ports provenant de la table DNAT) à utiliser pour se connecter à la machine virtuelle.

PowerShell

Activer l’accès JAT sur vos machines virtuelles à l’aide de PowerShell

Pour activer l’accès juste-à-temps aux machines virtuelles à partir de PowerShell, utilisez l’applet de commande PowerShell officielle de Microsoft Defender pour le cloud Set-AzJitNetworkAccessPolicy.

Exemple : activer l’accès juste-à-temps sur une machine virtuelle spécifique avec les règles suivantes :

Fermez les ports 22 et 3389.
Définissez une fenêtre de temps maximale de trois heures pour chaque afin qu’ils puissent être ouverts pour chaque demande approuvée.
Autorisez l’utilisateur qui demande l’accès à contrôler les adresses IP sources.
Autorisez l’utilisateur qui demande l’accès à établir une session après une demande d’accès juste-à-temps approuvée.

Les commandes PowerShell suivantes créent cette configuration JAT :

Attribuez une variable qui conserve les règles d’accès juste-à-temps pour une machine virtuelle :

$JitPolicy = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
        number=22;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"},
        @{
        number=3389;
        protocol="*";
        allowedSourceAddressPrefix=@("*");
        maxRequestAccessDuration="PT3H"})})

Insérez les règles d’accès juste-à-temps d’une machine virtuelle dans un tableau :
```
$JitPolicyArr=@($JitPolicy)
```
Configurez les règles d’accès juste-à-temps de la machine virtuelle sélectionnée :
```
Set-AzJitNetworkAccessPolicy -Kind "Basic" -Location "LOCATION" -Name "default" -ResourceGroupName "RESOURCEGROUP" -VirtualMachine $JitPolicyArr
```
Utilisez le paramètre -Name pour spécifier une machine virtuelle. Par exemple, pour établir la configuration JAT pour deux machines virtuelles différentes, VM1 et VM2, utilisez : Set-AzJitNetworkAccessPolicy -Name VM1 et Set-AzJitNetworkAccessPolicy -Name VM2.

Demander l’accès à une machine virtuelle prenant en charge l’accès JAT à l’aide de PowerShell

Dans l’exemple suivant, vous pouvez voir une demande d’accès juste-à-temps à une machine virtuelle pour une machine virtuelle spécifique pour le port 22, pour une adresse IP et une durée spécifiques :

Exécutez les commandes suivantes dans PowerShell :

Configurez les propriétés de la demande d’accès à une machine virtuelle :

$JitPolicyVm1 = (@{
    id="/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Compute/virtualMachines/VMNAME";
    ports=(@{
      number=22;
      endTimeUtc="2020-07-15T17:00:00.3658798Z";
      allowedSourceAddressPrefix=@("IPV4ADDRESS")})})

Insérez les paramètres de la demande d’accès à la machine virtuelle dans un tableau :
```
$JitPolicyArr=@($JitPolicyVm1)
```

Envoyez la demande d’accès (utilisez l’ID de ressource obtenu à l’étape 1) :

Start-AzJitNetworkAccessPolicy -ResourceId "/subscriptions/SUBSCRIPTIONID/resourceGroups/RESOURCEGROUP/providers/Microsoft.Security/locations/LOCATION/jitNetworkAccessPolicies/default" -VirtualMachine $JitPolicyArr

Pour en savoir plus, consultez la documentation relative aux cmdlets PowerShell.

API REST

Activer l’accès JAT sur vos machines virtuelles à l’aide de l’API REST

La fonctionnalité d’accès juste à temps aux machines virtuelles peut être utilisée via l’API Microsoft Defender pour le cloud. Utilisez cette API pour obtenir des informations sur les machines virtuelles configurées, en ajouter de nouvelles, demander l’accès à une machine virtuelle, et bien plus encore.

Pour en savoir plus, consultez Stratégies d’accès réseau JAT.

Demander l’accès à une machine virtuelle prenant en charge l’accès JAT à l’aide de l’API REST